風險管理內(nèi)部控制合規(guī)管理三位一體整合的研究

當今世界進入了一個烏卡時代，我們正處在一個易變性、不確定性、復雜性、模糊性共存的世界里。企業(yè)的生存與發(fā)展面臨著無數(shù)的不確定性，事件引發(fā)的全面風險管理、內(nèi)部控制、合規(guī)管理（下稱風險、內(nèi)控、合規(guī)）先后引入企業(yè)管理，成為我國企業(yè)治理的重要組成部分，并日益受到各方面的重視。同時，由于企業(yè)外部管理部門不同的管理角度和監(jiān)管要求，以風險管控為導向的三類管理體系逐步導入企業(yè)后，使企業(yè)內(nèi)部三項管理工作出現(xiàn)了多部門管理、多體系并存、多軌道運行的風險管理格局，造成了體系重復建設(shè)、人員重疊配置、職能重合交叉、管理多重并行等問題，既浪費了企業(yè)資源，又加重了業(yè)務(wù)負擔，還減低了管理效率，嚴重影響了風險、內(nèi)控、合規(guī)管理的實踐效果，為此，本文擬結(jié)合多年管理與咨詢的實踐經(jīng)驗，在深入總結(jié)分析風險、內(nèi)控、合規(guī)分線條管理弊端的基礎(chǔ)上，探究了將三者整合構(gòu)建的必要性和可行性，提出構(gòu)建風險、內(nèi)控、合規(guī)三位一體的總體框架和基本思路。

一、風險、內(nèi)控、合規(guī)管理的異同及弊端的分析

（一）全面風險管理、內(nèi)部控制、合規(guī)管理的異同

全面風險管理和內(nèi)部控制與合規(guī)管理均為企業(yè)治理框下的管理活動，屬于同質(zhì)化管理活動，根據(jù)5W2H管理分析法的基本要點，風險管理與內(nèi)部控制和合規(guī)管理的相同之處包括：管控目的，管控對象，管控主體，管控方式，管控目標，管控基礎(chǔ)。而不同之處在于風險管理、內(nèi)部控制與合規(guī)管理源于不同的背景，管理的視角、維度、側(cè)重點和作用領(lǐng)域各有不同，主要表現(xiàn)為管控功能不同，全面風險管理既可以幫助企業(yè)保持價值，也可以幫助企業(yè)創(chuàng)造價值；內(nèi)部控制重在保持和維護企業(yè)價值；合規(guī)管理主要是防止企業(yè)遭受處罰和損失。管控重心不同，全面風險管理側(cè)重戰(zhàn)略層面且來自企業(yè)外部的有利機會利用和不利風險管控；內(nèi)部控制側(cè)重內(nèi)部業(yè)務(wù)運營層面的風險預(yù)防與控制；合規(guī)管理側(cè)重企業(yè)和員工的對外強制性承諾義務(wù)和自愿性承諾義務(wù)的責任管控。管控層級不同，全面風險管理目標多為利益相關(guān)者的期望目標；內(nèi)部控制目標一般為公司正常運行的保障目標；合規(guī)管理目標主要為保障公司健康運行的底線目標。管控范圍不同，全面風險管理的風險包括外部風險和內(nèi)部風險；內(nèi)部控制風險主要指內(nèi)部風險；合規(guī)風險既包括外歸內(nèi)化風險，也包括內(nèi)部自覺性承諾風險。 

（二）風險、內(nèi)控、合規(guī)管理分線條并存的弊端

近年來，出于國家監(jiān)控部門的強烈要求，企業(yè)自身管理的內(nèi)生性需要，以及企業(yè)競爭與發(fā)展的外在影響，各企業(yè)紛紛導入并建立了全面風險管理、內(nèi)部控制和合規(guī)管理的制度與流程體系，員工的風險意識明顯增強，企業(yè)抵抗風險能力不斷提高，重大風險事件有所遏制。與此同時，在企業(yè)內(nèi)部也出現(xiàn)了全面風險管理、內(nèi)部控制、合規(guī)管理重復建設(shè)，多軌并行的狀況，不可避免的產(chǎn)生了制度體系沖突，流程繁瑣復雜，造成企業(yè)管理負擔加重，管理效率降低等問題，主要表現(xiàn)在：不同部門依據(jù)不同的政策和要求，建立各自的管理體系、管理制度與流程，造成多部門、多政策、多系統(tǒng)風險管理，使得風險管理政出多門，風控職能重復交叉，風控要求目標多元，業(yè)務(wù)管理疲于響應(yīng)。而且這種條線分割還會形成部門墻，導致企業(yè)內(nèi)部信息割裂，體系運行各自為政，削弱了內(nèi)部協(xié)同效應(yīng)[1]。也會使業(yè)務(wù)管理與風險管理相互脫節(jié)，三項風險管理體系相互分離或交叉重復，從而導致管理沖突或管理真空，降低了治理效率與效果，分散風險管理目標，增加業(yè)務(wù)負擔，淡化風險績效管理地位，出現(xiàn)評價標準的差別與分歧等。

二、風險、內(nèi)控、合規(guī)管理三位一體整合的總體框架

（一）五大要素的整合構(gòu)想

1.環(huán)境與目標

在內(nèi)部控制的“內(nèi)部環(huán)境”要素基礎(chǔ)上，將全面風險管理的治理與文化、戰(zhàn)略與目標設(shè)定要素和合規(guī)管理中的合規(guī)政策與制度要素進行融合整合，形成“環(huán)境與目標”要素，主要元素包括定義企業(yè)管理層的基調(diào)，確定企業(yè)使命、愿景、發(fā)展戰(zhàn)略、業(yè)務(wù)目標，為實現(xiàn)企業(yè)目標搭建組織架構(gòu)、配置人力資源、建立企業(yè)文化、確立風險偏好、管理風格和合規(guī)義務(wù)。

2.風險評估

在內(nèi)部控制的“風險評估”要素基礎(chǔ)上，將全面風險管理“績效”要素中的識別風險、評估風險嚴重程度、風險排序三個元素和合規(guī)管理“風險識別與預(yù)警”要素中的合規(guī)風險識別、合規(guī)風險評估、合規(guī)風險排序與分級三個元素進行整合，形成“風險評估”要素，主要元素包括企業(yè)內(nèi)外部的所有風險因子識別、風險事項分析、風險后果評價等[2]。

3.風險應(yīng)對

在優(yōu)化內(nèi)部控制的“風險評估”要素中的風險應(yīng)對策略選擇元素和“控制活動”要素的基礎(chǔ)上，將全面風險管理“績效”要素中的選擇風險策略、制定與執(zhí)行風險解決方案元素和合規(guī)管理中的“合規(guī)風險監(jiān)測、合規(guī)風險應(yīng)對、合規(guī)審查、合規(guī)問責”要素進行整合，形成“風險應(yīng)對”要素，主要元素包括風險應(yīng)對策略選擇、風險監(jiān)測、風險預(yù)警、不利風險控制、有利風險利用、重大事件應(yīng)急處置等。

4.溝通與匯報

在內(nèi)部控制“信息傳遞與溝通”要素基礎(chǔ)上，將全面風險管理的“信息、溝通與報告”中信息系統(tǒng)建設(shè)、信息傳遞、信息報告元素和合規(guī)管理中的合規(guī)信息溝通與匯報進行整合，形成“溝通與匯報”要素，主要元素包括信息傳遞組織架構(gòu)、信息傳遞路徑、信息傳遞技術(shù)、信息報告內(nèi)容等。通過溝通與匯報實現(xiàn)風險管理各要素之間、要素與內(nèi)外部環(huán)境之間、要素與元素之間、元素與元素之間的信息聯(lián)通和交互傳遞，為管理與控制提供信息支持和依據(jù)。

5.監(jiān)督與評價

在內(nèi)部控制“內(nèi)部監(jiān)督”要素基礎(chǔ)上，將全面風險管理中的“評審與整改”要素和合規(guī)管理中的“合規(guī)評價與改進”要素進行整合，形成“監(jiān)督與評價要素，主要元素包括環(huán)境監(jiān)測與評估、過程執(zhí)行監(jiān)控、控制績效評價、缺陷認定與改進等。

（二）四類目標的整合構(gòu)想

1.戰(zhàn)略目標

在原內(nèi)部控制三類目標的基礎(chǔ)上，增加全面風險管理的戰(zhàn)略目標，旨在通過“大風險”管理，降低實現(xiàn)戰(zhàn)略目標的不確定性，并提升內(nèi)部控制和合規(guī)管理的戰(zhàn)略地位。

2.運營目標

整合風險內(nèi)控合規(guī)管理在確保運營效率與效果方面的價值體現(xiàn)，將運營目標定位為確保企業(yè)各項規(guī)章制度、流程和為實現(xiàn)經(jīng)營目標而采取的重大措施的貫徹執(zhí)行，防控合規(guī)風險，規(guī)范經(jīng)營行為，保障經(jīng)營管理的有效性。

3.報告目標

充分融合內(nèi)部控制、全面風險管理與合規(guī)管理在內(nèi)外部報告方面的質(zhì)量要求，確保企業(yè)對內(nèi)或?qū)ν馓峁┑呢攧?wù)報告、經(jīng)營報告、合規(guī)報告的真實性與可靠性，滿足利益各方的需要，并贏得各方信任與合作，為企業(yè)正確決策提供有效信息[3]。

4.合規(guī)目標

在原內(nèi)部控制目標強調(diào)保證國家法律法規(guī)遵從性基礎(chǔ)上，擴大合規(guī)外延，提高合規(guī)地位，強調(diào)合規(guī)的重要性，在原目標基礎(chǔ)上增加企業(yè)規(guī)章、企業(yè)自愿性承諾（契約義務(wù)、社會責任、道德倡議等），以更好地滿足利益各方的訴求和社會的期望。

（三）三道防線的整合構(gòu)想

以《內(nèi)部控制-整合框架》中明確的“整個公司層面、分部、經(jīng)營單元、職能部門”適應(yīng)主體組件為基礎(chǔ)，借鑒全面風險管理的三道防線構(gòu)架，整合形成“大風險”管理的三道防線，即：

1.執(zhí)行防線

包括經(jīng)營單元、分部、業(yè)務(wù)部門、職能部門，主要職能是通過執(zhí)行業(yè)務(wù)流程進行風險防控；

2.管理防線

包括董事會下設(shè)的風險內(nèi)控合規(guī)管理委員會和企業(yè)的“大風險”歸口管理部門、對口專業(yè)職能部門，主要職能是通過風險管理決策、指導、審核進行風險管理；

3.監(jiān)督防線

包括董事會下設(shè)的審計委員會和企業(yè)的內(nèi)部審計部門，主要職能是通過日常監(jiān)督、定期評價、專項檢查進行風險管控和處置。

三、風險、內(nèi)控、合規(guī)管理三位一體整合的基本思路

基于“大風險”管理體系的組成要件與運作機理，將全面風險管理、內(nèi)部控制與合規(guī)管理進行三位一體整合構(gòu)建，需要從以下六個維度并運用相應(yīng)的方式進行一體化整合。

（一）情境一體化

企業(yè)的生存與發(fā)展不僅有賴于內(nèi)部的基礎(chǔ)環(huán)境，更需要與外部環(huán)境進行交互作用，外部因素既會給企業(yè)發(fā)展帶來機遇，也會增加企業(yè)目標實現(xiàn)的不確定性，同時還存在著一些企業(yè)生存與發(fā)展的規(guī)則高壓線。因此，企業(yè)風險管理體系的建立不能無視這些內(nèi)外部因素的存在與影響，反而需要遵循系統(tǒng)論的環(huán)境適應(yīng)性原則，分析、改造和利用環(huán)境，將與公司相關(guān)的環(huán)境因素轉(zhuǎn)化為公司有效的生產(chǎn)資源或要素，成為風險管理系統(tǒng)的重要組成要件。一是將全面風險管理關(guān)注的外部政治、經(jīng)濟、社會、技術(shù)、市場等因素與合規(guī)管理關(guān)注的外部法律法規(guī)因素轉(zhuǎn)化為企業(yè)內(nèi)部的資源、要素、規(guī)章等，與內(nèi)部控制賴以存在的企業(yè)內(nèi)部環(huán)境因素融為一體，作為“大風險”管理系統(tǒng)的建立基礎(chǔ)與影響因子，成為系統(tǒng)建設(shè)與更新的首要組件；二是將環(huán)境分析作為企業(yè)戰(zhàn)略與目標制定的必要環(huán)節(jié)和基本決策因子，以保證有的放矢，依據(jù)充分，決策正確；三是將環(huán)境變化監(jiān)測作為各責任主體風險觀察和報告的重要職責，納入風險預(yù)警和內(nèi)部報告體系，形成制度化、常態(tài)化的風險動態(tài)監(jiān)測與評估機制。

（二）目標一體化

為實現(xiàn)企業(yè)目標提供合理保證是風險、內(nèi)控與合規(guī)管理的共同目標，構(gòu)建一體化整合管理體系，必須以統(tǒng)一目標為先導進行系統(tǒng)整合。

按照“企業(yè)使命-愿景-戰(zhàn)略目標-業(yè)務(wù)目標”的一致性原則，逐級分解確立風險內(nèi)控合規(guī)三位一體“大風險”管理系統(tǒng)的統(tǒng)一目標體系。首先應(yīng)解碼企業(yè)使命，轉(zhuǎn)換為企業(yè)具體的戰(zhàn)略目標，然后利用平衡計分卡或OKR等戰(zhàn)略分解工具分解確定具體業(yè)務(wù)目標，再通過目標細分解析，識別出影響目標實現(xiàn)的關(guān)鍵成功要素和重要風險因素，在此基礎(chǔ)上，結(jié)合企業(yè)管理層的風險偏好、風險容忍度，統(tǒng)一確定“大風險”管理系統(tǒng)的戰(zhàn)略、運營、報告、合規(guī)四類目標，并依據(jù)職能職責進行時空二維分解落實，以保證將風險降低到企業(yè)可承受的風險容忍度之內(nèi)且能最大限度地促進企業(yè)戰(zhàn)略目標的實現(xiàn)。

要正確處理四類目標之間的相互關(guān)系，使其相互協(xié)調(diào)并保持與總體目標的同向性和一致性。其中戰(zhàn)略目標是先導目標，運營目標是核心目標，報告目標與合規(guī)目標是基礎(chǔ)目標，四類目標共同支撐和保障企業(yè)價值和使命的實現(xiàn)。在目標統(tǒng)一過程中，戰(zhàn)略目標的確定應(yīng)兼顧管理層的風險態(tài)度、企業(yè)風險與回報期望水平、宏觀環(huán)境的不可控風險因素；運營目標包含內(nèi)部控制單列的資產(chǎn)目標，運營目標的確定應(yīng)考慮市場狀況、資產(chǎn)安全和有效利用、資源配置、員工素質(zhì)水平等；合規(guī)目標的確定可根據(jù)企業(yè)管理能力與水平，在確保外部法律法規(guī)要求的最低行為標準基礎(chǔ)上，綜合全面風險管理、內(nèi)部控制的發(fā)展狀況，不斷提高企業(yè)合規(guī)標準；報告目標的確定應(yīng)充分考慮報告使用者的需要，確保報告的及時性、完整性、真實性、準確性。

按照重要性原則，科學確定重要業(yè)務(wù)的關(guān)鍵績效指標（KPI），匹配設(shè)置關(guān)鍵風險指標（KRI），為風險預(yù)警指標與閥值設(shè)置、風險管理績效評價奠定基礎(chǔ)，創(chuàng)造條件。

（三）組織一體化

組織是目標實現(xiàn)的主體集合，包括任務(wù)、職權(quán)、職責及相互之間的運行機制和監(jiān)督與協(xié)作關(guān)系。風險內(nèi)控合規(guī)組織一體化整合包括以下方面：

統(tǒng)一風險內(nèi)控合規(guī)管理的決策機構(gòu)、辦事機構(gòu)、執(zhí)行機構(gòu)和監(jiān)督機構(gòu)。董事會負責企業(yè)風險內(nèi)控合規(guī)管理的建立健全和有效實施，行使決策管理權(quán)力；董事會下設(shè)“風險內(nèi)控合規(guī)委員會”，統(tǒng)一負責企業(yè)風險、內(nèi)控、合規(guī)管理的政策制定、輔助決策、組織領(lǐng)導、業(yè)務(wù)指導；明確法務(wù)或風險管理部門為企業(yè)風險內(nèi)控合規(guī)管理的統(tǒng)一歸口管理部門，并承擔風險內(nèi)控合規(guī)委員會辦公室的職責，負責董事會、風險內(nèi)控合規(guī)委員會的重大決策的組織落實與監(jiān)督執(zhí)行；董事會下設(shè)審計委員會，負責風險內(nèi)控合規(guī)審計監(jiān)督與工作評價的政策制定、輔助決策、組織領(lǐng)導和業(yè)務(wù)指導；內(nèi)部審計部門受審計委員會領(lǐng)導，對審計委員會負責，承擔審計委員會的日常工作，負責風險內(nèi)控合規(guī)監(jiān)督與評價的日常事務(wù)性工作。審計委員會和內(nèi)部審計部門共同承擔風險管理的第三道防線職責。

賦能對口專業(yè)職能部門分別承擔對口風險的職能管理事務(wù)。如風險管理部門負責戰(zhàn)略風險、市場風險、運營風險、財務(wù)風險的風險信息收集、風險運行監(jiān)測、風險識別、風險評估與風險預(yù)警報告，并參與此類風險應(yīng)對的方案審核和決策管理；財務(wù)部門負責內(nèi)部控制相關(guān)風險的監(jiān)測、預(yù)警、報告和風險應(yīng)對方案審核與重大決策；法務(wù)部門負責合規(guī)管理風險的收集、識別、評估、審查、調(diào)查、問責處理等。對口專業(yè)職能部門與風險管理歸口部門和風險內(nèi)控合規(guī)委員會共同承擔風險管理的第二道防線職責。

（四）風險一體化

整合構(gòu)建統(tǒng)一的“大風險”評估體系，內(nèi)容包括：

組建成立由分管領(lǐng)導牽頭，風險管理歸口部門、業(yè)務(wù)部門、職能部門、經(jīng)營單元共同參加組成的風險評估委員會，負責企業(yè)風險評估管理工作。

建立風險信息收集、報告管理體系。明確業(yè)務(wù)部門、經(jīng)營單元、行政職能部門為一線風險信息收集報告主體；風險職能管理部門、風險歸口管理部門為二線風險信息收集、報告主體和一線風險信息審核主體；風險評估委員會為風險評估決策管理部門。

制定統(tǒng)一的風險評估管理制度。明確風險評估的范圍、職責、程序、時間、方法、風險分類標準等。

整合構(gòu)建統(tǒng)一的風險數(shù)據(jù)庫。將已識別的風險按照風險發(fā)生的可能性和嚴重性等分為需關(guān)注的風險和需管理的風險，將需關(guān)注的風險存入風險數(shù)據(jù)庫提示相關(guān)部門予以關(guān)注，將需管理的風險進一步劃分為重大風險、重要風險和一般風險，明確風險環(huán)節(jié)、關(guān)鍵控制點和責任主體，跟蹤風險變動與控制狀態(tài)。

建立風險預(yù)警指標體系，設(shè)置風險預(yù)警閥值、警級劃分標準、預(yù)警觸發(fā)條件、預(yù)警主體與預(yù)警形式等。建立風險點、控制點、響應(yīng)措施相互關(guān)聯(lián)的控制矩陣。

（五）流程一體化

流程是一組要素輸入、過程處理和成果輸出的程序性活動集合，它對組織實現(xiàn)目標的具體業(yè)務(wù)活動作出路徑、方向、順序、主體、方式、標準等原則性規(guī)定，是風險內(nèi)控合規(guī)一體化管理的承載主體和具體實現(xiàn)形式。

基于內(nèi)部控制的核心業(yè)務(wù)流程，嵌入全面風險管理與合規(guī)管理的技術(shù)與方法，構(gòu)建一體化的風險管理業(yè)務(wù)流程體系。按業(yè)務(wù)線條劃分，需構(gòu)建控制環(huán)境類（5項）、控制活動類（9項）、控制工具類（4項）等三大類十八項風險管理流程；按管理性質(zhì)特征劃分，需構(gòu)建戰(zhàn)略決策類、核心業(yè)務(wù)類、支持管理類業(yè)務(wù)流程。在流程設(shè)計與構(gòu)造過程中，應(yīng)以業(yè)務(wù)活動為主線，劃分工作節(jié)點，在關(guān)鍵節(jié)點中嵌入風險管理措施并使之成為必要工作環(huán)節(jié)，強制落實風險管理責任。在決策環(huán)節(jié)，嵌入風險評估論證、合規(guī)審查、集體決策控制；在執(zhí)行環(huán)節(jié)，嵌入不相容職務(wù)分離控制、預(yù)算控制、資產(chǎn)保護控制、授權(quán)審批控制、會計控制；在管理環(huán)節(jié)，嵌入風險監(jiān)測控制、風險預(yù)警控制、應(yīng)急預(yù)案處置、績效評價控制；在監(jiān)督環(huán)節(jié)，嵌入日常監(jiān)督、合規(guī)調(diào)查、舉報調(diào)查、定期評價、專項監(jiān)督、問責處理控制。從而構(gòu)建與業(yè)務(wù)活動緊密契合的風險、內(nèi)控、合規(guī)一體化風險管理流程。流程體系應(yīng)由流程圖、流程描述說明、權(quán)限指引、流程表單等要素組成。

（六）制度一體化

制度與流程是風險管理的兩大核心組件，是保證流程得以正確執(zhí)行的行為規(guī)范。在實現(xiàn)流程統(tǒng)一的前提下，遵循目標——風險——措施的基本邏輯，就三項風險管理制度的管理目標、風險揭示、組織體系、職能職責、權(quán)限劃分、工作程序、行為規(guī)范、監(jiān)督評價、問責處理等內(nèi)容進行整合，從而構(gòu)建以風險管理大綱為指引，以分項業(yè)務(wù)風險管理制度為主體的1+N系統(tǒng)性大風險管理制度體系。制度體系由風險管理大綱，分項業(yè)務(wù)風險管理辦法、重點業(yè)務(wù)事項風險管理指引等三級制度組成。綜合流程與制度的核心內(nèi)容，形成風險內(nèi)控合規(guī)一體化管理手冊，為有效實施大風險管理提供操作指南。

四、結(jié)語

簡約管理是當今極簡主義思潮下企業(yè)管理的變革趨勢，也是應(yīng)對烏卡時代(VUCA)的一種管理思維模式，核心標志是組織扁平化、流程兼容化、信息共享化、管理一體化。全面風險管理、內(nèi)部控制、合規(guī)管理一體化整合構(gòu)建既符合簡約管理的發(fā)展方向，也合乎治理整合規(guī)范的基本要件，同時具有同質(zhì)化管理資源整合利用的效率空間，是三大風險管理體系發(fā)展和提升的必然趨勢。當然，風險內(nèi)控合規(guī)管理各有其自身的形成背景和運行機理，一體化整合是一項全局性、系統(tǒng)性、長期性工程，需要結(jié)合企業(yè)的內(nèi)部風險管理環(huán)境，統(tǒng)一規(guī)劃、兼容并蓄、整體安排、分步實施，形成風險內(nèi)控合規(guī)管控一體化的動態(tài)管理系統(tǒng)。

本文來源：《商業(yè)觀察》http://m.00559.cn/w/jg/125.html